Kapittel 4Sekundærbruk av helsedata

I henhold til EHDS-forordningen er formålet med sekundærbruk av helsedata å muliggjøre gjenbruk av data som opprinnelig er samlet inn for helsehjelp (primærbruk), til sekundære formål som forskning, innovasjon, politikkutvikling og kvalitetsforbedring av helsetjenesten. EHDS-forordningen søker å harmonisere tilgjengeliggjøring av helsedata for sekundære formål, slik at landene kan dra nytte av felles løsninger og standarder. Dette vil gi økt tilgang til data, som kan akselerere vitenskapelige og innovative fremskritt og støtte medisinsk utvikling.

Sekundærbruk kan medføre store samfunnsmessige fordeler. EHDS skal legge til rette for sekundærbruk av helsedata som kan bidra til bedre folkehelse og økt pasientsikkerhet gjennom utvikling av kunnskap som kan gi nye medisinske løsninger, i tillegg til bedre ressursutnyttelse i helsevesenet. Sekundærbruk kan også gi grunnlag for politikk- og regelverksutvikling og bidra til kostnadsreduksjoner og innovasjon gjennom ny kunnskap for å utvikle behandlinger og medisinsk teknologi.

Det kommer frem av EHDS-forordningen og av arbeidet med EU-prosjektene på sekundærbruk som TEHDAS2, QUANTUM og EHDS Community of Practice (CoP) at den finske monolittiske modellen med FINDATA er en inspirasjonskilde for det europeiske arbeidet. Men det er viktig å påpeke at EHDS forordningen og arbeidet i EU prosjektene støtter desentralisert tilnærming av datahåndtering og data deling for å styrke det indre markedet.

Krav i forordningen

Kapittel IV i EHDS- forordningen regulerer sekundærbruk av elektroniske helsedata og er delt i seks underkapitler som omhandler:

  1. Generelle prinsipper som definerer hvem som omfattes av bestemmelsene om sekundærbruk og formålene for sekundærbruk
  2. Styring og tilgangsmekanismer, med krav om nasjonale organer som skal administrere og koordinere sikker og rettferdig tilgang
  3. Tilgangsprosedyrer og datahåndtering, som skal ivareta og legge til rette for forsvarlig bruk gjennom spesifikke tillatelser og krav om bruk av sikre analyserom, reservasjonsrett for innbyggere
  4. Grensekryssende tilgang og etablering av en europeisk infrastruktur for sikker datadeling
  5. Krav om merking, standardisering og synliggjøring av helsedata gjennom nasjonale og europeiske dataplattformer
  6. Klageadgang for fysiske og juridiske personer

EHDS-forordningen har til hensikt å sikre en felles tilnærming til sekundærbruk av helsedata, hvor både innovasjon og personvern ivaretas​. Mange av kravene handler om å støtte brukerreisen for tilgang til og prosessering av data til sekundære formål:

Denne figuren viser en trinnvis prosess for hvordan en databruker, for eksempel en forsker, får tilgang til helsedata for sekundærbruk, slik som forskning. Prosessen består av seks trinn, presentert som blå bokser koblet sammen med piler. Til venstre er ulike aktører illustrert: databruker, dataeier og tilgangsforvalter (HDAB). Til høyre for hvert trinn finnes en forklarende tekst. 1. Finne datakilder Databrukeren starter prosessen med å identifisere relevante helsedatakilder. Spørsmålet som stilles er: "Hvilke helsedata finnes som kan støtte min forskning?" 2. Søke tillatelse Databrukeren søker om tilgang til helsedata. Spørsmålet er: "Kan jeg bruke disse dataene i forskningsprosjektet mitt?" 3. Forberede data Tilgangsforvalter for sekundærbruk (HDAB) vurderer søknaden, utsteder tillatelse og forbereder data. De sørger også for datakvalitet og personvern. Rollen som dataeier (f.eks. helseregister) vises også her. 4. Tilrettelegge data HDAB gir tilgang til et sikkert analysemiljø der dataene kan brukes. 5. Bruke data Databrukeren får tilgang og analyserer dataene i det sikre analysemiljøet. 6. Levere resultater Databrukeren publiserer resultatene fra analysene. Det legges vekt på å ivareta personvern og etterprøvbarhet. Figuren visualiserer ansvarsfordeling og flyt i prosessen, med tydelig rollefordeling mellom databruker, dataeier og tilgangsforvalter (HDAB).
Figur 4: Tilrettelegging for sekundærbruk av helsedata innenfor EU/EØS området

Videre handler underkapitlene om hvordan samhandlingen mellom nasjonale og internasjonale aktører skal foregå for å tilgjengeliggjøre data på en sikker og effektiv måte. Hovedkomponentene er illustrert under:

  • Sentrale tjenester (Central Services) som koordineres av Europakommisjonen og administrerer internasjonal tilgang til data og sikrer at deling skjer trygt gjennom HealthData@EU  
  • Health Data Access Bodies (HDAB) som er nasjonale organer som administrerer tilgang til data for sekundærbruk. En koordinerende HDAB koordinerer samhandlingen mellom HDABer og HealthData@EU
  • Secure Processing Environments (SPE) er sikre analyserom som sikrer at sensitive data behandles og deles på en sikker måte, i tråd med gjeldende personvernlover (f.eks. GDPR)
  • Dataforvaltere (Data Holders) er institusjoner som lagrer og administrerer helserelevante data hvor minimumskategoriene er beskrevet.
  • Databrukere (Data Users) er forskere, helsemyndigheter, innovatører og andre som får tilgang til data for spesifikke formål.
  • Infrastruktur for deling av data (Data Sharing Infrastructures) forbinder ulike nasjonale og internasjonale aktører for datadeling.
  • Tredjeland og EU-organer (Third Countries HDABs, EMA, ECDC) er aktører utenfor Europa som kobles til HealthData@EU for samarbeid og datadeling.

Figuren viser et overblikk over aktørene og infrastrukturen i det europeiske systemet for sekundærbruk av helsedata, slik det er beskrevet i European Health Data Space (EHDS). Den består av ulike bokser koblet sammen med linjer for å illustrere samarbeid og dataflyt mellom aktørene. Nøkkelkomponenter i figuren: 1. Data Holders (nederst, grønn boks) – Disse er kildene til helsedata, og inneholder: o Elektroniske pasientjournaler (Electronic Health Records) o Helseregistre o Administrative data o Erstatnings- og refusjonsdata o Genomdata 2. Health Data Access Body (HDAB) (midten, gul boks) – En sentral aktør som mottar forespørsler og gir tilgang til helsedata for sekundærbruk innenfor et trygt og regulert rammeverk. 3. Health Data Access Bodies (venstre side, gul boks) – Andre nasjonale eller regionale tilgangsorganer som samarbeider i nettverk. 4. Third Countries HDABs (øverst til venstre, oransje boks) – Tilgangsorganer fra tredjeland (utenfor EU) som også kan inngå i samarbeidet. 5. EMA, ECDC (øverst til høyre, gul boks) – EU-organer: Det europeiske legemiddelkontoret (EMA) og Det europeiske smittevernbyrået (ECDC), som benytter helsedata i sitt arbeid. 6. Central Services (midten, blå sekskant) – Tilrettelegger for sikker og strukturert datadeling. 7. Data Sharing Infrastructures (venstre side, gul boks) – Tekniske infrastrukturer som håndterer selve overføringen og integrasjonen av data. 8. Data Users (grønn pil til høyre) – Sluttbrukerne av helsedata. – Inkluderer: o Forskere o Helsepersonell o Myndigheter innen folkehelse o Regulatorer o Innovatører 9. SPE (Secure Processing Environment) – Symbolene “SPE” i flere bokser indikerer at data kun behandles i sikre analyse- og behandlingsmiljøer i tråd med EHDS-regelverket.
Figur 5: Sekundærbruk av helsedata – HealthData@EU og komponenter som overholder krav fra forordningen og gjeldende personvernlover (f.eks. GDPR).

Hele infrastrukturen, HealthData@EU, er sammensatt av en kombinasjon av nasjonale og internasjonale aktører og en sentral europeisk node som til sammen skal sørge for interoperabilitet, sikkerhet og effektiv tilgjengeliggjøring av helsedata på tvers av landegrenser.

Flere av bestemmelsene om sekundærbruk skal utdypes gjennom gjennomføringsrettsakter. Vurderingene i dette dokumentet må derfor nødvendigvis måtte oppdateres etter hvert som disse rettsaktene utformes og vedtas. For eksempel kan definisjoner og krav i gjennomføringsrettsakter få innvirkning på Norges modell for tilgjengeliggjøring av data (data fra den enkelte kilde).

Ikrafttredelse

Bestemmelsene som regulerer sekundærbruk av helsedata – altså bruk til formål som forskning, innovasjon, politikk, helseberedskap, statistikk og regulatorisk tilsyn – trer i kraft 26. mars 2029.

Flere sentrale krav innenfor dette området skal imidlertid være implementert allerede fra 26. mars 2027:  

  • Etablering av nasjonale og europeiske styringsorganer (Health Data Access Bodies),
  • Opprettelse av nasjonale kontaktpunkter for datadeling i HealthData@EU,
  • Innføring av tidsbegrenset datatilgang for sekundærbrukere,
  • Og utvikling av tekniske spesifikasjoner og regelverk på EU-nivå. (Europakommisjonen har begynt med arbeidet gjennom utvikling av implementing acts [24]).

Bestemmelsen om tilgang til ulike datakategorier (jf. artikkel 51(1)) for sekundærbruk innføres fra 26. mars 2029, mens enkelte datakategorier som genetiske data, molekylærbiologiske data, data fra kliniske forsøk først skal tilgjengeliggjøres fra 26. mars 2031 (se full oversikt i tabell under).

Bestemmelsen om en infrastruktur for deling av helsedata over landegrensene, inkludert tredjeland, HealthData@EU jf. artikkel 75, gjelder først fra 26. mars 2035.

Situasjonen i Norge i dag

Norge har en struktur med mange brukere av helsedata til sekundærformål og et bredt spekter av dataansvarlige/dataforvaltere og vedtaksmyndigheter som fatter vedtak om tilgang til helsedata. Mange av de dataansvarlige har lang historikk og forvalter de fleste minimumskategoriene av helsedata som omfattes av EHDS. Vedtaksmyndighet for 11 lovbestemte helseregistre ble i 2023 overført til Helsedataservice (HDS), ved Folkehelseinstituttet. Vedtaksmyndighet for registre som ikke er inkludert i nasjonal løsning for tilgjengeliggjøring av helsedata ligger i utgangspunktet hos den enkelte registerforvalter (dataansvarlig).

Gjennom Helsedataprogrammet har Norge etablert en infrastruktur som samler nødvendig informasjon om helseregistre på ett sted, og gjør dette tilgjengelig via www.helsedata.no. På helsedata.no finnes det flere nasjonale tjenester for brukere av helsedata: Veiledning og informasjon, felles søknadsskjema og en nasjonal metadatakatalog. Metadatakatalogen inneholder både en kildeoversikt og en variabelutforsker. De nasjonale tjenestene som er tilgjengelige via helsedata.no forvaltes av Folkehelseinstituttet ved HDS. HDS er en nasjonal organisatorisk løsning for tilgjengeliggjøring av helsedata som i dag håndterer løsning for felles søknadsskjema, felles søknadsmottak, formidling av saker til andre relevante vedtaksmyndigheter, saksbehandlingssystem, og dialogfunksjoner. Tjenestene utvides med stadig nye datakilder, enten som del av fellesløsninger, eller begrenset til visning i kilde- og variabelutforskeren.

Norske aktører har solid juridisk og etisk forvaltning av sine helsedata når det gjelder sekundærbruk, og det er høy tillit blant innbyggere til å dele sensitive data for sekundære formål. En undersøkelse gjennomført i 2019 på oppdrag fra Direktoratet for e-helse viser at 95 prosent av nordmenn er positive til at egne helseopplysninger brukes til forskning, så lenge personvernet er ivaretatt [25]. Videre har Norge gjort betydelige fremskritt i håndtering av sensitive data gjennom stadig mer sikre tjenester levert av universitets- og høyskolesektoren.

Foreløpige gap-beskrivelser

Gap-beskrivelse

#

Tema

Art.

Gap

Status

1

Generelle betingelser for sekundær-bruk

50,

52,

53,

54 

 

Kravene er delvis oppfylt. Vi har regler som gjelder sekundærbruk

av helseopplysninger i helseregisterloven med forskrifter, helsepersonelloven § 29 mv.

Det antas at det kreves endringer i gjeldende regelverk for å tilpasses forordningen.

 

Plikt for tilgjengeliggjøring og unntak for enkelte datatilbydere (art. 50) 

Det må vurderes hvilke helsedatainnehavere som omfattes av bestemmelsen

og dermed omfattet av forpliktelsene til å dele helseopplysninger. Det er nasjonalt

handlingsrom til å gi unntak etter andre avsnitt og etter tredje avsnitt at såkalte

helsedataformidlingsenheter kan ivareta oppgavene til enkelte kategorier helsedatainnehavere.

 

Immaterielle rettigheter og forretningshemmeligheter (art. 52)

Det må kartlegges hvilke data som er omfattet av begrensningene og HDAB må

avklare med helsedatainnehaver hvordan IPR/forretningshemmeligheter ev. Ivaretas

ved tilgjengeliggjøring av helseopplysninger. HDAB kan stille kontraktsrettslige vilkår

ved tilgjengeliggjøring av helseopplysninger som er omfattet av immaterielle rettigheter

og/eller forretningshemmeligheter.

 

Formål og forbud mot bruk av helsedata (art. 53, 54)

Forordningen åpner for mange bruksområder for helsedata mv., antakeligvis flere

enn hva som er tillatt i nasjonal rett i dag. Det må vurderes og avklares nærmere

hvilke formål som konkret tillates og hvilke som er forbudt etter EHDS-forordningen.

Kakediagram fylt 1/2

2

Minimum-kategorier av elektroniske data til sekundær-bruk

 

Minimumskategorier av elektroniske data (art. 51)

Kravet er i liten grad oppfylt. Det er per nå ikke en enhetlig definisjon og felles forståelse blant medlemsland om hva som inngår i de 17 datakategorier av elektroniske data til sekundærbruk. Data til sekundærbruk samles inn fra ulike datakilder og reguleres i dag av ulike lover og myndigheter, noe som medfører fragmentert regelverk og utfordrer digital datasamhandling. Nasjonale medisinske kvalitetsregistre kan for eksempel ha rettslig grunnlag i fire ulike forskrifter med noe ulike krav og reguleringer. Det må vurderes om det skal fastsettes nasjonale regler i tråd med bestemmelsen. Videre er data som sosioøkonomiske data og miljødata også nevnt i art.51 ofte samlet inn til andre formål, men det er data som påvirker helse.

Ikrafttredelse fra 2029 for datakategorier:

(a) Elektroniske helsedata og helseopplysninger (EHR),

(c) Aggregerte helsedata (behov, ressurser og utgifter),

(d) Data om patogener som påvirker menneskers helse,

(e) Administrativ helsedata (f.eks. refusjoner),

(h) Data generert automatisk via medisinsk utstyr,

(i)* Data fra velvære- og helserelaterte applikasjoner,

(j) Profesjonell informasjon om helsepersonell,

(k) Offentlige helseregistre,

(l) Medisinske registre og dødsårsaksregistre,

(n) Øvrige data fra medisinsk utstyr,

(o) Legemiddel- og utstyrsregistre,

(q)* Helsedata fra biobanker og tilhørende databaser.

fra 2031 for datakategorier:

(b) Sosioøkonomiske, miljømessige og atferdsrelatertefaktorer som påvirker helse,

(f)* Genetiske og genomiske data,

(g)* Molekylærbiologiske data (proteomikk, metabolomikk m.m.),

(m) Data fra kliniske studier og undersøkelser,

(p) Data fra helserelaterte spørreundersøkelser og forskningskohorter.

 

For datakategorier (*) f, g, i q kan det etableres strengere krav på nasjonalnivå.

Kakediagram fylt 1/4

3

Health Data Access Bodies (HDABs)

 

55,

57,

58,

59,

66,

67,

68,

69,

70,

81,

(73)

 

 

 

 

 

 

Kravene er delvis oppfylt.

Organisering av HDAB-er (art. 55)
Det er flere vedtaksmyndigheter (HDAB-er) i Norge i dag. Forordningen pålegger at det utpekes ett eller flere offentlige organer med ansvar for å gjennomføre oppgaver og forpliktelser knyttet til HDAB-enes mandat. Forordningen peker til at disse oppgavene kan fordeles mellom flere offentlige organer. Norge må fastsette antallet HDAB-er som skal opprettes. Deretter må en koordinerende HDAB utnevnes, med ansvar for å samhandle med aktører både nasjonalt og på europeisk nivå. I tillegg må det etableres tilhørende National Contact Point (NCP) i henhold til artikkel 75 og formelt utpekes. Både koordinerende HDAB og nasjonalt kontaktpunkt må meldes inn til EU-kommisjonen.

Helsedataservice (HDS) fyller mange, men ikke alle kravene til en koordinerende HDAB. Det er behov for styrking av kapasitet, kompetanse, funksjoner og tekniske løsninger for at HDS skal kunne oppfylle alle kravene til en koordinerende HDAB i henhold til EHDS-forordningen.

Det er flere tilgangsforvaltere (HDAB-er) i Norge i dag og det er ikke foretatt vurdering i hvor stor grad disse til sammen oppfyller kravene til HDAB i henhold til EHDS-forordningen. 

SPUHIN prosjektet jobber med prioriterte oppgaver for etablering og utvikling av rollene til HDAB (metadata, sikre analyserom og infrastruktur og cross-border deling av data). EU kommisjonen kommer med nye utlysninger for å støtte utvikling av de andre oppgavene og kravene til HDABer.

Dataforvaltning og tilgangsstyring (art. 57, 58, 66, 67, 68, 69, (73))
Det mangler løsninger for at HDAB skal kunne tilgjengeliggjøre data i sikre analyserom og det er per i dag ikke vedtatt krav og rammeverk for sikre analyserom i Norge som ivaretar kravene i EHDS. Det mangler kontrollmekanismer som sikrer at helsedata kun tilgjengeliggjøres i anonymt eller pseudonymt format. Det mangler overvåkningssystemer som kan sikre etterlevelse av kravene til dataminimering og formålsbegrensning. Det mangler godkjente sikre analyserom (SPE) som HDAB skal kunne kreve at benyttes, med nødvendige løsninger for kontrollformål og logging av aktivitet.

Kommunikasjon og rapportering (art. 58, 59)
Helsenorge er etablert og brukes som kanal for informasjon rettet mot innbyggere, men den dekker ikke alle informasjonskrav og datakilder som omfattes av EHDS. HelsaMi må vurderes som digital kanal for innbyggere i Helse Midt-Norge. Det mangler rutiner for rapportering både nasjonalt og internasjonalt.

Kakediagram fylt 1/2

4

Health Data Holders

Helsedata-innehavere

Ref. definisjon art. 2 t),

 

50,

60,

72,

74,

(51,

52)

Store deler av kravene er oppfylt.

  • Dagens dataansvarlige og forvaltere av helsedata mangler kapasitet og kompetanse til å imøtekomme kravene i EHDS-forordningen, spesielt datainnehavere av nye kategorier av helsedata. EHDS setter en grense på 3 måneders saksbehandlingstid.
  • Mangler felles forståelse for begrepet "datainnehavere" som er definert i artikkel 2. Hvem som omfattes vil ha betydning for arbeidsmengden til andre aktører i HealthData@EU, eksempelvis HDABer og koordinerende HDAB. (TEHDAS2).
  • Norge må vurdere om aktørene beskrevet i artikkel 50 (1) skal være forpliktet til kravene beskrevet for datainnehavere i artikkel 60. Dette må formidles til EU-kommisjonen.
  • Norge må evaluere om visse kategorier av datainnehavere oppfyller sine plikter gjennom dataformidlingsenheter (health data intermediation entities). Dette må formidles til EU-kommisjonen.
  • Datainnehaver mangler felles merking av datakvalitet i tråd med EHDS-kravene (Kap. 7.6 og Artikkel 78)​.
  • Norges løsning der mange registre har desentralisert vedtaksmyndighet for tilgjengeliggjøring av egne data (eks. Pasientjournal, kvalitetsregistre, helseundersøkelser og biobanker), kan samsvare med EHDS-begrepet “Trusted Data Holder” etter art. 72 nr. 2. Nytt med EHDS-forordningen vil da være at HDAB kan overstyre slike vedtak.
  • Har ingen praksis eller formell godkjenningsordning for kategorisering av data holdere som "trusted health data holders". Dette skaper usikkerhet om hvordan de ulike helseaktørene skal integreres i EHDS strukturen. Trusted Data Holders skal vurderes, utnevnes og følges opp for kontinuerlig vurdering av HDAB. Norge mangler en klar rollefordeling mellom Data holdere og HDAB i sekundærbruk av helsedata​.
Kakediagram fylt 3/4

5

 

Health Data Users

Ref. definisjon i artikkel 2 nr. 2 u)

 

61

Kravene er delvis oppfylt. Manglende enhetlig praksis, verktøy og tradisjon for å sikre at data utelukkende brukes til godkjente formål. Mangler retningslinjer for hva som kan regnes som sikre analyserom (SPE) selv om mer kunnskap forventes fra SPUHiN og TEHDAS2. Det mangler rutiner og praksis for forskningsprosjekter som trenger forlenget prosjektperiode om å innhente tillatelser fra andre enn REK [26]. Det mangler felles retningslinjer, og infrastruktur for Data brukere som sammenstiller helsedata med andre data fra andre tverrsektorielle datakilder. Det mangler felles system, kultur og verktøy for oppfølging av rapporteringskrav og resultatdeling fra Data bruker. Svak etterlevelse av eksisterende vilkår i vedtak. Det mangler handlingsrom, system og tradisjon for at databrukere skal varsle datainnehavere/ vedtaksmyndighet om vesentlige funn som kan være av betydning for den registrertes helse. Norge har forbud mot re-identifisering av den registrerte for å muliggjøre informasjon om ev. vesentlige funn, med unntak av i kliniske studier, særlig ved genetikk. Utfordringen er løftet fra Norge og flere land til EU-kommisjonen.

Kakediagram fylt 1/2

6

 

Metadata-katalogen 

 

77,

79,

(78)

Store deler av kravene er oppfylt. Det er imidlertid gap knyttet til noen av kravene i EHDS-forordningen, blant annet:

  • Dagens metadatakatalog møter ikke alle kravene i EHDS-forordningen, men er et meget godt utgangspunkt
  • Dagens metadatakatalog favner ikke alle data-kategoriene som er listet i EHDS-forordningen.
  • Eksisterende innrapporterte metadata fra «data holders» må kompletteres, oversettes og transformeres til standarden HealthDCAT-AP [27] for å kunne deles med EU Dataset Catalogue.  Per i dag finnes det ikke infrastruktur og applikasjoner for å gjøre dette arbeidet.
  • Myndighetsrollen og dagens regelverk for forvaltning av metadata må styrkes for å kunne pålegge nye «data holders» å rapportere inn metadata i henhold til gjeldende standarder. Spesielt vil dette bli en utfordring når det gjelder «data holders» som ikke forvaltes innen helse- og omsorgssektoren
Kakediagram fylt 3/4

7

 

Datakvalitet

 

78,

(77,

79)

Kravene er delvis oppfylt.

  • Det finnes per i dag ingen “Data Quality and Utility Label” eller annen standardisert metode for å dokumentere og tilgjengeliggjøre informasjon om datakvalitet
  • Det finnes per i dag ingen felles standard eller prosess for evaluering og oppfølging av modenheten til dataansvarlige når det gjelder informasjonsforvaltning (Å holde «Orden i eget hus»)
  • Det er ikke noen utnevnt sentral myndighet med tildelt ansvar for å sikre og sørge for dokumentasjon av datakvalitet
Kakediagram fylt 1/4

8

Reservasjons-rett (Opt-out)

71

Kravet er delvis oppfylt. I dag er det etablert en digital reservasjonsløsning på Helsenorge som er i bruk for Kommunalt pasient- og brukerregister (KPR) og for 20 nasjonale medisinske kvalitetsregistre. Alle datakilder som blir omfattet av kravet om reservasjonsrett for sekundærbruk av helsedata etter EHDS må etablere en digital løsning for dette på Helsenorge eller tilsvarende nasjonal digital løsning. Det må sikres tilstrekkelig informasjon til innbygger om muligheten til å reservere seg slik at retten blir reell. Reservasjonsretten kan unntas for kilder som har hjemmel i lov og oppfyller vilkårene i EHDS art. 71 nr. 4. Dette vil kunne være aktuelt for de lovbestemte helseregistrene som samler inn data uten samtykke/reservasjonsrett fra de registrerte. Det er behov for god kommunikasjon med innbygger om hvilke data som brukes til hva, og hva dette betyr for innbygger. I dag er det ikke enighet om hvor detaljert formålet med bruk av helsedata skal kommuniseres med innbyggere. Tekniske og praktiske utfordringer diskuteres i TEHDAS2, og løftes til kommisjonen

 

Kakediagram fylt 1/2

9

 

Sikre analyserom (SPE)

 

73

(75,

87,

96)

Kravene er delvis oppfylt. Per i dag er det ikke en europeisk felles forståelse av hvilke kriterier som definerer SPE. Det mangler konkretisering av roller og ansvarsområder for sikre analyserom og oppgavene som skal utføres som krav gjennom EHDS. Roller, ansvar og prosedyrer rundt etterlevelse av krav er ikke bestemt. Det mangler en felles forståelse og ulike behov for sikre analyserom i infrastrukturen beskrevet i HealthData@EU på europeisk og nasjonalt nivå. Kravene til SPE er under utarbeidelse, og Norge er godt koblet på arbeidet med å definere kravene gjennom prosjektene SPUHiN og TEHDAS2. Informasjon (metadata) om leverandører av sikre analyserom som etterlever spesifikasjonene må være tilgjengelig på helsedata.no. SPUHiN jobber med å utvikle en egen metadatastandard for tilgjengeliggjøring av leverandører som leverer sikre analyserom etter godkjente krav.

 

Kakediagram fylt 1/2

 

10

 

HealthData@EU

 

75,

76 

Kravet er ikke oppfylt. Det skal utpekes ett Nasjonalt kontaktpunkt (NCP), som skal være bindeleddet mellom koordinerende HDAB, og HealthData@EU. Denne kan bli lagt til koordinerende HDAB. NCP er ikke utnevnt i Norge. Det er behov for konkretisering av roller og ansvar mellom organisatorisk og teknisk løsning. Det mangler integrasjon mot interne systemer bl.a. for metadata, helsedata og søknader. Krav til sikkerhet og personvern er imidlertid ikke levert fra EU ennå. Norge har per i dag ikke infrastruktur for å koble seg til EU-plattformen for helsedata, gjennom HealthData@EU. Det mangler harmoniserte tilgangsmekanismer og tekniske standarder må tilpasses for å tilrettelegge for datautveksling som krever kompatibilitet med EHDS-formatene. Det er ikke etablert eDelivery løsning for koordinerende HDAB. Det mangler en total oversikt av prosesser rundt søknader som kommer fra HealthData@EU og forsendelse av metadata til HealthData@EU. Norsk lovgivning begrenser internasjonal deling av helsedata, noe som kan være i konflikt med EHDS National Contact Point (ref.om HDAB) må utnevnes og formelt meldes inn til EU- kommisjonen.

Tomt kakediagram (0/1)

11

Gebyrer

62

Kravet er delvis oppfylt. EHDS legger opp til at det kan tas betalt for kostnader knyttet til tilgjengeliggjøring av data for sekundærbruk. Det er uklart hvilke typer kostnader som etter EHDS kan legges til grunn ved beregning av gebyr for tilgjengeliggjøring, og hvilke aktører i verdikjeden som kan ta betalt. Det finnes ikke en felles prismodell i Norge for tilgjengeliggjøring av helsedata på tvers av helsedatakilder, helsedataforvaltere og vedtaksmyndigheter som er i tråd med EHDS. I dag finnes det ikke systemer, teknisk infrastruktur eller organisatoriske strukturer som kan håndtere felles prisestimat, felles fakturering eller splitting av beløp som en koordinerende HDAB vil trenge for å kunne etterleve kravene i EHDS for alle datakategorier etter art. 51. 

Kakediagram fylt 1/2

12

 

Evaluering, tilsyn og etterlevelse

 

63,

64,

65,

Kravet er i liten grad oppfylt. Bestemmelsene pålegger HDAB en rekke oppgaver for å håndheve regler og gi sanksjoner. Disse er ikke ivaretatt i dag og må etableres. Det mangler lovhjemmel for administrative bøter for sekundærbruk av helsedata og det finnes ikke en mekanisme for å ekskludere aktører som ikke overholder kravene​.  Datatilsynets tillegges særskilte oppgaver knyttet til reservasjonsrett jf. art. 71.  Det er behov for en overordnet rollefordeling av oppgaver og ansvar mht. tilsyn og sanksjoner, samt rutiner for samarbeidet mellom Datatilsynet og HDAB.

 

Kakediagram fylt 1/4

 

Foreløpig liste av tiltaksområder som må vurderes nærmere

Infrastruktur

  • Bygge infrastruktur og etablere god samhandling mellom sektorer for å kunne dele helsedata og helserelaterte data (bl.a. sosioøkonomiske data og miljødata)
  • Legge til rette for helhetlig informasjonsforvaltning på tvers av primær- og sekundærbruk av helsedata i lys av EIF-modellen [28].

Organisering og regulering

  • Utpeke HDAB-er  og koordinerende HDAB samt etablere National Contact Point (NCP)
  • Etablere koordinerende HDAB, med tilstrekkelig kapabilitet med mer personell, kompetansebygging og teknologi, samt tydeliggjøring av myndighetsrollen og ansvaret for kompetansebygging på dataforvalternivå.
  • Vurdere hvilke datainnehavere jf. art. 2 nr. 2 bokstav t og art. 50 som vil omfattes av forordningen
  • Styrke kapabiliteten til datainnehaverne med personell, kompetansebygging og teknologi
  • Tydeliggjøre rollefordeling mellom HDAB-er og REK slik at databrukere kan forstå hvem som gjør hva
  • Vurdere hvordan oppgavene som pålegges HDAB for å håndheve regler og gi sanksjoner best løses, herunder avklare samarbeid med Datatilsynet
  • Etablere og implementere mekanismer for tilgangsstyring, logging, dataminimering og brukerkontroll i tråd med EHDS-forordningen for å sikre innbyggernes tillit og etterlevelse av GDPR

Teknologiske løsninger

  • Videreutvikle Helsedata.no med oversikt over alle datakilder som omfattes av art 51.
  • Videreutvikle reservasjonsløsningen på Helsenorge og etablere reservasjonsløsning på HelsaMi (Helse Midt-Norge) slik at den omfatter alle datakilder som omfattes av reservasjonsrett i henhold til EHDS.
  • Etablere teknisk løsning for integrasjon med EU infrastruktur HealthData@EU.

Strategisk

  • Samordne helsedatastrategien slik at den er kompatibel med EHDS.
  • Vurdere å etablere en kommunikasjonsstrategi for å opprettholde tillit i befolkningen til datadeling.

Viktigste prinsipielle og strategiske problemstillinger

  • Hvordan skal roller og ansvarsområder for sekundærbruk av helsedata defineres? Koordinerende HDAB, andre HDAB-er, dataforvaltere, datainnehavere, databrukere (Data Users), og Trusted Data Holders. Skal Norge ha én nasjonal HDAB med utvidet vedtaksmyndighet, eller et system med flere HDABer, der én HDAB utpekes som koordinerende HDAB?
  • Hvordan skal Norge tolke og operasjonalisere EHDS’ minimumskategorier av helsedata og helse-relaterte data (tverrsektorielt), og hvordan kan dette tilpasses eksisterende nasjonale strukturer og lovverk?
  • Hvordan skal Norge unngå interessekonflikter i organer som tillegges HDAB-funksjon?  Se krav i art. 55 nr. 3
  • Skal datainnehavere som i utgangspunktet er unntatt fra forpliktelser etter forordningen, som fysiske personer, enkeltstående forskere, og mikrobedrifter jf art. 50 (1) være forpliktet etter nasjonal rett til å følge kravene beskrevet for datainnehavere? Det samme gjelder om datainnehavernes oppgaver bør ivaretas av helsedataformidlingsenheter jf. art. 50 nr. 3.
  • Hva er det nasjonale handlingsrommet for å bevare eksisterende lovbestemte helseregistre som ikke har reservasjonsrett og samtykkebaserte befolkningsbaserte helseundersøkelser?  
  • Data i nordiske land er mye mer detaljerte enn i resten av Europa og de nordiske landene har forholdsvis små populasjoner. Hvordan kan vi sikre at anonyme/pseudonyme datasett deles uten risiko for re-identifikasjon?
  • Hvordan sikrer Norge nasjonal kontroll over hvilke helsedata som deles gjennom HealthData@EU? Hvordan avgjøres hvilke fremtidige datasett det faktisk skal gis tilgang til fra Norge. Jf. "tilgang til robuste helsedata som grunnlag for helseberedskapstiltak”, og hvordan skal vi ivareta nasjonale interesser/sikkerhetsinteresser?

Disse er noen av de viktigste prinsipielle og strategiske spørsmål og flere er beskrevet i eget arbeidsdokument for sekundærbruk av data.

 

 

 

[24] HealthData@EU Central Platform

[25] https://www.smartcarecluster.no/lab-aktuelt/2020/5/folk-vil-dele-sine-helsedata

[26] REK: Regionale komiteer for medisinsk og helsefaglig forskningsetikk.

[27] Standardar for offentleg sektor. Standard for beskrivelse av datasett, datatjenester og datakataloger (DCAT-AP-NO).

[28] European Interoperability Framework: https://www.digdir.no/digital-samhandling/rammeverk-digital-samhandling/2148

Forrige kapittel

Primærbruk av helseopplysninger

Neste kapittel

Styring og organisering

Siste faglige endring: 19. mai 2025